COBIT(Control Objectives for Information and related Technology)

COBIT (Control Objectives for Information and Related Technology) adalah kerangka kerja tata kelola IT (IT Governance Framework) dan kumpulan perangkat yang mendukung dan memungkinkan para manager untuk menjembatani jarak (gap) yang ada antara kebutuhan yang dikendalikan (control requirement), masalah teknis (technical issues) dan resiko bisnis (bussiness risk).COBIT mempermudah perkembangan peraturan yang jelas (clear policy development) dan praktik baik (good practice) untuk mengendalikan IT dalam organisasi. COBIT menekankan keputusan terhadap peraturan, membantu organisasi untuk meningkatkan nilai yang ingin dicapai dengan penggunaan IT, memungkinkan untuk menyelaraskan dan menyederhanakan penerapan dari kerangka COBIT.Manfaat COBITManfaat dalam penerapan COBIT ini antara lain :1. Mengelola Informasi dengan kualitas yang tinggi untuk mendukung keputusan bisnis.1. Mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI secara efektif dan inovatif.1. Mencapai tingkat operasional yang lebih baik dengan aplikasi teknologi yang reliable dan efisien.1. Mengelola resiko terkait TI pada tingkatan yang dapat diterima.1. Mengoptimalkan biaya dari layanan dan teknologi TI.1. Mendukung kepatuhan pada hukum, peraturan, perjanjian kontrak, dan kebijakan.Kerangka KerjaKerangka kerja pengendalian COBIT terdiri dari empat hal, yakni :1. Mengaitkannya dengan tujuan organisasi,1. Mengorganisasikan aktivitas TI ke dalam model proses,1. Mengidentifikasi sumber daya utama TI untuk melakukan percepatan,1. Mendefinisikan tujuan pengendalian manajemen untuk dipertimbangkan.

COBIT 4.1 mentabulasikan empat lingkup pekerjaan atau domain, proses, kriteria informasi dan sumber daya teknologi informasi menjadi 318 sasaran pengendalian (control objectives) dengan aplikasi pada tingkatan seperti apa (primer atau sekunder) serta dapat diterapkan pada sumber daya teknologi informasi yang mana.

1. Lingkup pekerjaan (domain) yang meliputi empat hal sebagai berikut :a. Perencanaan dan Organisasi (PO),Yaitu mencakup masalah mengidentifikasikan cara terbaik TI untuk memberikan kontribusi yang maksimal terhadap pencapaian tujuan bisnis organisasi. Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi. Domain PO terdiri dari:PO1 Menyusun rencana strategis teknologi informasiPO2 Mendefinisikan arsitektur informasi korporatPO3 Menentukan arah perkembangan teknologiPO4 Merancang struktur organisasi teknologi informasiPO5 Mempertimbangkan investasi teknologi informasiPO6 Mengkomunikasikan arah dan sasaran manajemenPO7 Mengembangkan sumber daya manusiaPO8 Memelihara kualitasPO9 Menilai dan Mengelola Resiko teknologi informasiPO10 Mengelola proyekb. Pengadaan dan Implementasi (AI)Domain ini menitikberatkan pada proses pemilihan, pengadaan dan penerapan TI yang digunakan. Pelaksanaan strategi yang telah ditetapkan, harus disertai solusi-solusi TI yang sesuai solusi TI tersebut diadakan, diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi. Dimana domain AI terdiri dari 7 control objectives, meliputi :AI1 : Identify automated solutions (Mengidentifikasi otomasi solusi)AI2 : Acquire and maintain application software (Memperoleh dan memelihara aplikasi perangkat lunak)AI3 : Acquire and maintain technology infrastructure (Memperoleh dan memelihara teknologi infrastruktur)AI4 : Enable operation and use (Mengaktifkan dan menggunakan operasi)AI5 : Procure IT resources (Mendapatkan Sumber Daya TI)AI6 : Manage changes (Mengatur Perubahan)AI7 : Install and accredit solutions and changes (Memasang dan mengakreditasi solusi dan perubahan)

c. Penyelenggaran dan Pelayanan (DS)Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya yang meliputi hal keamanan sistem, kesinambungan layanan, pelatihan dan pendidikan untuk pengguna, dan pengelolaan data yang sedang berjalan. Domain DS terdiri dari 13 proses, yaitu :DS 1 Menentukan standar kepuasanDS 2 Memonitor keterlibatan pihak ketigaDS 3 Menjaga kinerja dan kapasitasDS 4 Menjamin pelayanan yang berkesinambunganDS 5 Mengelola sistem keamananDS 6 Mengidentifikasikan dan mengalokasikan biayaDS 7 Mendidik dan melatih penggunaDS 8 Membantu pelanggan sistemDS 9 Memantai konfigurasi DS 10 Mengatasi keluhan dan masalahDS 11 Mengelola dataDS 12 Mengelola fasilitasDS 13 Mengelola operasi d. Pengawasan dan Evaluasi (ME)Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi seluruh kendali-kendali yang diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini fokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan internal dan eksternal. Dimana domain ME terdiri dari 4 control objectives, meliputi :ME1 : Monitor and evaluate IT performance (Memantau dan mengevaluasi kinerja TI)ME2 : Monitor and evaluate internal control (Memantau dan mengevaluasi kendali internal)ME3 : Ensure regulatory compliance (Memastikan kepatuhan/kesesuaian terhadap aturan)ME4 : Provide IT Governance (Menyediakan tata kelola TI)1. Proses yang berjumlah 34, terdiri dari PO1 sampai PO10 (indikator Plan dan Organize), AI1 sampai AI7 (indikator Acquire dan Implement), DS1 sampai DS13 (indikator Direct dan Support), serta ME1 sampai ME4 (indikator Monitor dan Evaluate).1. Kriteria informasi, yang meliputi tujuh hal berikut ini :COBIT menetapkan standar penilaian terhadap sumber daya teknologi informasi dengan kriteria sebagai berikut:1. Efektivitas : untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu.1. Efisiensi : memfokuskan pada ketentuan informasi melalui pengunaan sumber daya yang optimal.1. Kerahasiaan : memfokuskan proteksi terhadap informasi yang penting dari yang tidak memiliki otorisasi.1. Integritas : berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.1. Ketersediaan : berhubungan dengan informasi yang tersedian ketika diperlukan dalam proses bisnis sekarang dan yang akan datang.1. Kepatuhan : sesuai menurut hukum, peraturan, dan rencana perjanjian untuk proses bisnis.1. Keakuratan informasi : berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan dan kelengkapan laporan pertanggungjawaban.

1. Sumber daya teknologi informasi,meliputi : Sistem aplikasi, Informasi, Infrastruktur, dan Personil.

A. Domain Plan and Organise (PO)Domain ini mencakup strategi dan taktik, serta difokuskan pada penentuan arah IT yang dapat memberikan kontribusi terbaik dalam pencapaian tujuan-tujuan bisnis (business objectives). Lebih lanjut, realisasi dari strategi yang merupakan penjabaran dari visi dan misi perusahaan perlu untuk direncanakan, dikomunikasikan dan diatur dengan perspektif yang berbeda. Dengan demikian, diperlukan keterlibatan dari perusahaan secara keseluruhan dan juga teknologi infrastruktur. Biasanya domain ini ditujukan untuk pertanyaan manajemen berikut : Apakah IT dan strategi bisnis telah sejalan ? Apakah perusahaan menggunakan sumber dayanya secara optimal ? Apakah setiap orang dalam perusahaan mengerti tujuan-tujuan(objectives) dari IT ? Apakah resiko-resiko IT telah dimengerti dan diatur ? Apakah kualitas dari sistem IT telah sesuai untuk kebutuhan bisnis ?B. Domain Acquire and Implement (AI)Dalam merealisasikan IT strategy , IT solution perlu diidentifikasikan, dikembangkan atau dipelajari sebagaimana diimplementasikan dandiintegrasikan ke dalam proses bisnis. Sementara itu, perubahan dan perawatan sistem yang ada tercakup dalam domain AI untuk memastikan penyelesaianyang berkelanjutan memenuhi tujuan-tujuan bisnisnya. Biasanya domain iniditujukan untuk pertanyaan manajemen berikut : Apakah proyek baru bisa memberikan solusi pengiriman yang memenuhikebutuhan bisnis ? Apakah proyek baru bisa dikirimkan tepat waktu dan sesuai denganbiayanya ? Akankah kerja sistem yang baru sesuai ketika diimplementasikan ? Akankah perubahan dapat dibuat tanpa mengacaukan operasi bisnis yangsekarang ?C. Domain Deliver and Support (DS)Domain ini difokuskan pada actual delivery dari layanan yang dibutuhkan, yangmana melibatkan layanan pengiriman, manajemen keamanan dan kelancaran,pendukung layanan bagi user dan manajemen data serta fasilitas operasional.Biasanya domain ini ditujukan untuk pertanyaan manajemen berikut : Apakah IT service dikirimkan sesuai dengan prioritas bisnis ? Apakah biaya IT telah dioptimalkan ? Apakah workforce mampu menggunakan sistem IT secara produktif dan aman ? Apakah kecukupan rahasia, integritas dan ketersediaan telah sesuai ?D. Domain Monitor and Evaluate (ME)Semua proses IT perlu dinilai secara berkala untuk mengetahui kualitasdan pelaksanaannya terhadap pemenuhan kebutuhan pengendalian. Domainini difokuskan untuk mengetahui performance manajemen, memonitor pengendalian internal, pelaksanaan peraturan dan penyediaan pengelolaan.Biasanya domain ini ditujukan untuk pertanyaan manajemen berikut : Apakah performance IT diukur untuk mendeteksi masalah sebelumsemuanya terlambat ? Apakah manajemen yakin bahwa pengendalian internal yang digunakantelah efektif dan efisien ? Dapatkah performance IT dihubungkan kembali ke business goals ? Apakah resiko, pengendalian, pelaksanaan dan performance telah diukur dan dilaporkan ?

COBIT Maturity ModelCOBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa pengelolaan IT pada suatu organisasi dengan menggunakan maturity models yang bisa digunakan untuk penilaian kesadaran pengelolaan (management awareness) dan tingkat kematangan (maturity level). COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses IT dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya dari skala nonexistent sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1: Initial, 2: Repetable, 3: Defined, 4: Managed dan 5: Optimized (Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008).Model kematangan (maturity models) tersebut seperti terlihat dalam Gambar berikut:

Gambar Maturity Model

IT Audit/Resume/Deta Abriand/2013220800